Представим себе ситуацию, что есть некий сервер на базе Debian GNU/Linux, который уже введён в домен Active Directory с помощью SSSD и realmd и на нём уже имеется keytab-файл, который используется для механизмов аутентификации Kerberos и Single sign-on (SSO) при подключении к серверу по протоколу SSH. И вот возникает необходимость на данном Linux-сервере дополнительно настроить роль веб-сервера для служебных администраторских задач и организовать Kerberos SSO при подключении к веб-узлам этого веб-сервера. По ранее описанным примерам (здесь, здесь и здесь), предполагается, что для целей Kerberos-аутентификации веб-сервера Apache в домене Active Directory (AD) создаётся отдельная сервисная учётная запись типа User, для которой генерируется keytab-файл и в последствии привязывается к настройкам Apache на стороне Linux-сервера. С точки зрения аспектов безопасности такой поход (отдельный Linux-сервис = отдельная учётная запись в AD со своим keytab-файлом) можно считать вполне правильным. Но что, если Linux-сервис, использующий Kerberos-аутентификацию, используется не широким кругом пользователей, а исключительно для административных целей парой-тройкой системных администраторов? В таком случае создание отдельной учётной записи типа User в домене со своим keytab-файлом может показаться избыточным. В этой заметке мы рассмотрим пример того, как добавить дополнительную нужную нам запись servicePrincipalName (SPN) (на примере SPN-записи типа HTTP/) в уже имеющийся на Linux-сервере keytab-файл, ориентированный на сам хост (содержащий SPN-записи типа HOST/). В результате мы получим Kerberos аутентификацию на веб-узлах нашего Linux-сервера и при этом не будем плодить в домене лишние сервисные учётные записи типа User.
Онлайн-курсы Евгения Лейтана
Внедрение Microsoft System Center Operations (SCOM) 2016/2019
13 уроков (6 часов видео), лабораторные работы и вручение именного сертификата.
Промокод "IT-KB_60" со скидкой 60%!
13 уроков (6 часов видео), лабораторные работы и вручение именного сертификата.
Промокод "IT-KB_60" со скидкой 60%!
E-mail подписка на блог
Облако меток
Active Directory
Backup
CentOS
CentOS 7
Cluster
ConfigMgr
Debian
DPM
Exchange Server
firmware
Free software
Group Policy
Hardware
HP
HPE
Hyper-V
Linux
Monitoring
Networking
Open Source
OpsMgr
PowerShell
ProLiant
RDS
SCCM
SCOM
Script
Security
SharePoint
SQL Server
SQL Server 2012
System Center
System Center 2012
System Center 2012 R2
Troubleshooting
Ubuntu
Update
Upgrade
Virtualization
Web Server
Windows Server
Windows Server 2012
Windows Server 2012 R2
Windows Update
WSUS
Архив записей
- Самое обсуждаемое
- Случайные записи
- Remote Desktop Services – Строим отказоустойчивую ферму RD Connection Broker на базе Windows Server 2012 (280 Комментариев)
- Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 5. Конфигурация Squid 3 (141 Комментариев)
- Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS. Часть 4. Конфигурация Kerberos и NTLM (100 Комментариев)
- Установка HP Systems Insight Manager (SIM) (92 Комментариев)
- Remote Desktop Services - Строим отказоустойчивую ферму RD Connection Broker (87 Комментариев)
- Уязвимость CallStranger (CVE-2020-12695) в Universal Plug and Play (UPnP) и PowerShell скрипт для сканирования сети по протоколу SSDP
- Развёртывание АСКОН КОМПАС-3D-Viewer v13 (13.0)
- Встреча MCP клуба в г. Санкт-Петербург — Архитектурный дизайн IT инфраструктуры компании - часть 2
- Ротация логов для ELK (Elasticsearch - Logstash - Kibana) - Пример работы с RESTful Elasticsearch из PowerShell
- PowerShell - Быстрый способ проверить учётные данные пользователя в Active Directory